最新專訪實錄文章

Image credit:

Chrome 的騎士盾,Google Security Princess 訪談

這位公主不需保護,反倒肩負著我們大家的網絡安全。

Eric Chan , @erichankc
2017 年 2 月 7 日, 晚上 11:00
0 分享次數
分享
分享
Twitter 發表
line
電郵
儲存
童話故事裡的公主都有一種需要被保護的感覺,就像瑪利歐大叔在這麼多年來都要在庫巴手上拯救出碧姬公主一樣。不過在 Google 的這位 Security Princess 卻手執盾牌,守護著大家的 Chrome 瀏覽器免受惡意程式攻擊。小編這次就乘著世界網絡安全日的機會,與 Security Princess -- Parisa Tabriz 聊聊天,聽她分享在維護網絡安全的想法和建議,讓大家可以在瀏覽網頁時更安全。

Security Princess 的責任


這位守護著 Chrome 「城堡」的公主的芳名是 Parisa Tabriz,單從外表觀察以及得悉她出生於醫護世家的背景,幾乎不會把她與網絡安全聯繫在一起。不過 Parisa 在高中時代學習網頁設計的機會,卻讓她對電腦科學產生興趣,進而在大學時選修相關的工程學科,以及學得一身高超的駭客本領,隨後就是作為「資訊安全工程師(Information Security Engineer)」的身份加入 Google 工作。

那到底為什麼 Parisa 會從工程師變成「公主」呢?那就是因為她一次參加會議時,發覺原來的職稱實在是太無聊了,所以就改為 Security Princess,並一直沿用到現在。這可不是口耳相傳而已,而是實實在在的印在名片上!

Parisa 先後為多款 Google 產品的安全性把關,於 4 年前開始接管 Google Chrome 的安全,這也算是回歸到她會踏進這領域的原點吧。因為 Parisa 認為「瀏覽器」就像人們連上互聯網的一扇窗,其安全性是非常的重要。所謂的「上網」,其實並非使用者直接存取網站伺服器裡的內容,中間還需要經過路由器、互聯網服務供應商、伺服器節點等多個中途點,每一個環節都會有著被中間人(Man-in-the-Middle)攻擊的風險。作為終端的瀏覽器其實也只佔了中間的一個部份,所以 Parisa 和她的團隊同時有著另一個更大的目標:提升整體互聯網的安全。

為 Chrome 瀏覽器把關



作為負責 Chrome 安全的把關人,這裡也是一個好的切入點來提升整體互聯網的安全。因為它能透過「安全瀏覽網站狀態」的功能事先排查使用者想要進入的網頁是否潛藏著危險,像是釣魚、木馬、惡意軟體等,並發出警告。Parisa 的團隊有著二十多位來自不同領域的專材,除了電腦工程外,還有設計、法律等的人員,為的就是在找出有風險網頁之餘,還能以有效的方式傳達至使用者,這也就是我們一直都有報導過 Chrome 瀏覽器會因應網頁的安全度而有著不同的提示,像是網址列上的加密圖示,以至大大的紅色警告頁面(上圖)。

Chrome 瀏覽器因為登陸在包括桌機和行動裝置上不同的平台,它們之間在硬體和作業系統的根本性分別,Parisa 表示這是對於他們安全團隊的一大挑戰。以硬體來說,桌機因為效能更高,所以 Chrome 瀏覽器的安全程度也相對強大,但同時也因為有著附加元件和其他額外功能而要面對更多風險;行動裝置則是一個愈來愈多使用者使用的平台,不過卻因為行動版 Chrome 沒有附加元件而減少被駭的風險,只是裝置的硬體效能卻成了一個瓶頸。但無論平台有多大的分別,風險還是平等地多的,所以安全性團隊也有努力地在把桌機的保護功能帶到行動裝置上,其中一個最新的就是上面提到的那大紅背景警告頁面。

說到現在的一個網絡安全熱話,就是 HTTPS 加密瀏覽。一如前面所述,網頁瀏覽其實需要經過重重的關卡,資料可能在任何一個環節被駭客截獲,所以 Google 也有大力推廣網站應該要採用 HTTPS 加密連線。Parisa 分享了一個最新的數字,指截至本月為止,在全球百大網站裡,已經有著 54 個支援 HTTPS 連線,其中 44 個更是預設使用。比一年前分別只有 39 個和 24 個的數字,已經有著極大進步,而 Parisa 和團隊則會繼續努力去了解和協助餘下的網站轉用 HTTPS,同時也有在 Chrome 瀏覽器加入提示,讓使用者知悉網站是否有被加密。

除此之外,過去一直被垢病為惡意廣告溫床的 Flash 插件終算要被 HTML 5 所取替。Parisa 認為這是一個時代的進步,因為這由過去單靠 Adobe 一方去為這插件做除蟲,進化成使用開放的 HTML5 協定,讓互聯網整體作為一個社群來共同維護。所以無論 HTML5 日後被發現到存有什麼問題,也能集眾人之力盡快解決。

推廣網絡安全和教育


Professor Palmer and the Art of Black Magic
在 Google 一方奮力改進 Chrome 時,在促進互聯網安全的議題上,教育大眾也是一個重要的理節。再以 HTML5 為例子,俗語說「三個臭皮匠、勝過諸葛亮」,所以集眾人之力更能讓事情事半功倍。除了是駭客社群會議和有獎金的懸賞計劃之外,Google 也有投資於教育的方面。

Google 已經設立了適合不同電腦知識的網絡安全教育網站,讓擁有基礎編程知識的學生,甚至是幾歲的小朋友都可以接觸並培養到網絡安全有關的想法。Parisa 甚至在美國當地親身向低下階層的小朋友或女童軍(上圖)等不同團體,以有趣的方式教授基本的網絡安全知識,當中也有包括動手製作簡單的加密裝置,寓教於樂。

保護自己


最後就是 Parisa 給我們分享的五點網絡安全建議,但其實不少也是老生常談了呢。
  • 便宜莫貪:釣魚或惡意廣告最愛用的手段。
  • 不要重覆使用密碼:不管你的密碼強度多高,網站一旦有漏洞就會被盜,而且能按圖索驥地入侵其他帳戶。真怕忘記的話,不妨善用密碼管理員吧。
  • 不要使用公共電腦和檢查帳戶安全:這很明顯了吧。
  • 小心下載的軟體和應用程式:與第一點相似,但風險更高吧。
  • 保持軟體更新:這部分應該不用擔心,因為 Chrome 瀏覽器現在都有自動更新功能,除非你是使用老舊作業系統的了...

總結


Chrome Security 2016
說到「駭客」或「網絡安全專家」,我們一般的印象都是宅宅或精英份子。不過在與 Parisa 公主見面之後,就會發現原來一個如此具親和力的人,就是肩責著保護我們互網聯安全重任的騎士。Parisa 也有提到的就是她也有向電視或電影公司建議一改「駭客」的造型,以免給予小朋友一個㛭誤的印象,扼殺網絡安全的幼苗。而且她也有展示與其團隊的合照,仔細看看相中成員其實都與我們一般人無異,與電影故事裡的誇張形容根本是南轅北轍吧。

在聊天之中,Parisa 的一句話是最發人深省的:「Do No Evil,Do Know Evil」。這句話的前半段是 Google 的座右銘,目的是提醒其員工千萬不要走歪;而 Parisa 加上的後半句,則是告訴我們身處在這危機四伏的互聯網世界裡,必需要知己知彼才能保護自己。

乘著世界網絡安全日,大家就來檢查一下自己的互聯網帳戶有沒有好好的設置各種安全設定,包括兩步驟認證、高強度密碼,以及更新一下應用程式吧!